Investigadores Advierten Sobre Malware que Roba Criptomonedas Mediante Apps de Google y Apple

Investigadores de Kaspersky han detallado una campaña de malware multiplataforma que tiene como objetivo robar las frases de recuperación de billeteras de criptomonedas a través de aplicaciones móviles maliciosas.

Según un informe reciente, la campaña “SparkCat” utiliza un kit de desarrollo de software (SDK) malicioso integrado en aplicaciones de mensajería modificadas y otras aplicaciones para escanear las galerías de imágenes de los usuarios en busca de datos sensibles de recuperación. Esta técnica se observó por primera vez en marzo de 2023.

En ese momento, los investigadores de ciberseguridad observaron características de malware dentro de las aplicaciones de mensajería que escaneaban las galerías de los usuarios en busca de frases de recuperación de billeteras de criptomonedas —comúnmente conocidas como mnemotécnicas— para enviarlas a servidores remotos.

La campaña inicial solo afectó a usuarios de Android y Windows a través de fuentes de aplicaciones no oficiales, según los investigadores.

Sin embargo, esto no es cierto para SparkCat, que fue descubierto a finales de 2024. Esta nueva campaña emplea un marco SDK integrado en varias aplicaciones disponibles en mercados de aplicaciones oficiales y no oficiales para dispositivos Android e iOS.

En un caso, se descubrió que una aplicación de entrega de comida llamada “ComeCome” en Google Play incluía el SDK malicioso. Las aplicaciones infectadas se han instalado colectivamente más de 242.000 veces, y posteriormente se identificó un malware similar en aplicaciones disponibles en la App Store de Apple.

Stephen Ajayi, líder técnico de auditoría de dApps en la firma de ciberseguridad de criptomonedas Hacken, le dijo a Decrypt que las medidas preventivas empleadas por las tiendas de aplicaciones generalmente se limitan a verificaciones automatizadas y raramente incluyen revisiones manuales.

Slava Demchuk, CEO de la firma de análisis blockchain AMLBot, destacó además que el problema se ve agravado por la ofuscación del código y las actualizaciones maliciosas que introducen malware después de que una aplicación ya ha sido aprobada.

“En el caso de SparkCat, los atacantes ofuscaron el punto de entrada para ocultar sus acciones de los investigadores de seguridad y las fuerzas del orden”, le dijo a Decrypt. “Esta táctica les ayuda a evadir la detección mientras mantienen sus métodos en secreto de los competidores”.

El malware utiliza la biblioteca ML Kit de Google para realizar reconocimiento óptico de caracteres (OCR) en imágenes almacenadas en los dispositivos de los usuarios. Cuando los usuarios acceden a una función de chat de soporte dentro de la aplicación, el SDK les solicita un prompt de permiso para leer la galería de imágenes.

Si se concede el permiso, la aplicación escanea las imágenes en busca de palabras clave que sugieran la presencia mnemotécnica en múltiples idiomas. Las imágenes coincidentes se cifran y se transmiten a un servidor remoto.

Demchuk señaló que “este vector de ataque es bastante inusual—he visto tácticas similares principalmente en fraudes de cajeros automáticos, donde los atacantes roban códigos PIN”.

Agregó que llevar a cabo tal ataque requiere un buen nivel de destreza técnica, y si el proceso se volviera más simple de replicar, podría causar mucho más daño.

“Si los estafadores experimentados comienzan a vender scripts listos para usar, este método podría propagarse rápidamente”, dijo.

Ajayi estuvo de acuerdo, señalando que “OCR para escanear es un truco muy inteligente”, pero cree que todavía hay espacio para mejorar. “Imagina la combinación de OCR e IA para seleccionar automáticamente información sensible de imágenes o pantallas”.

Como consejo para los usuarios, Demchuk recomendó pensar dos veces antes de otorgar permisos a las aplicaciones. Ajayi también sugiere que los desarrolladores de billeteras “deberían encontrar mejores formas de manejar y mostrar datos sensibles como frases semilla”.

Editado por Stacy Elliott.